前言
对于小型博客网站来说,使用的最广泛的SSL证书就是Let’s encrypt 的 90天 免费SSL证书
很多站长的解决方案一般都是定期监测并续期该证书,这是一个 0成本 的解决方案
如果觉得定期续期有些麻烦的话,亦或是想要试试其他 SSL 证书,以下介绍极具性价比的Positive SSL证书
什么是 Positive SSL?
Positive SSL证书 是由证书颁发机构 Sectigo 推出的一款适用于中小型网站的低成本SSL证书
支持多种证书类型 DV(单域名/泛域名证书)、OV(组织验证证书)、EV(扩展验证证书)
有效期通常为 1年 ,手动续费续期,同时支持代理商和官方售后服务
与Let’s Encrypt相比
| Positive SSL | Let’s Encrypt SSL | |
|---|---|---|
| 证书类型 | DV、OV、EV | 仅支持DV (单域名/泛域名/通配符) |
| 颁发机构 | 全球CA机构 Sectigo | 全球CA机构 Let’s Encrypt |
| 有效期 | 1年 (通常) | 最高 90天 |
| 续期 | 手动续费续期 | 自动化续期 |
| 价格 | 付费 | 免费 |
| 技术支持 | 提供官方和代理商售后支持 | 无、社区支持 |
| 兼容性 | 高兼容性,信任度高 | 不兼容老旧设备 |
如何申请?
自行购买请前往 Sectigo官网 及其 经销商处 选择 Positive DV SSL 类别进行选购
准备 CSR (证书签名请求)
在安装了 OpenSSL 的服务器上执行以下命令,注意修改你的域名
openssl req -new -newkey rsa:2048 -nodes -keyout mydomain.key -out mydomain.csr
生成过程中会要求输入证书的国家、省/州、城市、组织名、组织部门、域名(Common name)、邮箱
创建完成后保存好 mydomain.key 这是你的证书密钥,复制 mydomain.csr 中的内容提交给 Sectigo
申请成功后如何安装证书?
本文以 Nginx 配置为例
1.合并完整证书链
获得的证书压缩文件包中会包含以下4个示例证书文件
- AAACertificateServices.crt
- yourdomain.crt
- SectigoRSADomainValidationSecureServerCA.crt
- USERTrustRSAAAACA.crt
使用 WinSCP、FTP 等工具将上述文件上传到服务器的某个目录内
在服务器中执行以下命令
cd your-path#证书的位置
cat yourdomain.crt USERTrustRSAAAACA.crt SectigoRSADomainValidationSecureServerCA.crt AAACertificateServices.crt > fullchain.pem
目录下的 fullchain.pem 就是你的完整证书文件
再把申请时的密钥文件 mydomain.key 复制到当前目录便于集中管理
2.修改 Nginx 配置
打开你的站点配置文件,一般在 /etc/nginx/sites-available 目录下,修改 SSL证书部分内容
#替换为你的目录
ssl_certificate your-path/fullchain.pem;
ssl_certificate_key your-path/mydomain.key;
ssl_trusted_certificate your-path/AAACertificateServices.crt;
随后在 nginx -t 命令检查无误后,nginx -s reload 重载 Nginx 即可
SSLLABS检测结果
结语
本文简单介绍了 Sectigo Positive SSL证书 申请与部署教程,当然这不只是唯一选项,各位还是要看自己的需求而定!
版权
本文章隶属于 DDverse ,遵循 © CC BY-NC-SA 4.0 协议,如需转载请保留来源并在必要的时候告知我